Windows系统IPsec中的IP筛选列表的功能可以替代windows防火墙,尤其在2003时代更为重要,因为2003防火墙比较薄弱,不能做到出站的限制(win2008已经完善), IP筛选列表可以限制源IP及源端口,也可限制目标IP和目标端口(如图),具体不在这里详说,不是本文重点。
添加IP筛选列表方法是图形化界面比较简单,但是IP筛选列表有个缺点如果限制的端口很多(如图),只能一条一条记录添加,不能一条添加多个端口。
可用netsh ipsec命令进行添加
Netsh ipsec static add filterlist name=OLDplat_port_in_new Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=993 protocol=tcp Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=994 protocol=tcp Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=995 protocol=tcp Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=996 protocol=tcp Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=1117 protocol=tcp |
这样在本地组策略IP筛选列表就方便多了,但是问题又来了,我们公司是在域中用域组策略配置IP筛选列表推到各个域中计算机上,
如何在域策略管理器添加IP筛选列表,在baidu查了好久,终于找到了如下命令
将存储设为域存储
netsh ipsec static set store location=domain domain=beijing.nosvr.com
netsh执行文本
Netsh exec aaa.txt
用第一条命令,将存储设为域存储,用命令查看你会发现,存储还是在本地,所以你必须用到第二条命令。
步骤如下
1.先编辑文本文件,将存储设为域,列表命令写好,如下
2.执行如下命令
C:\Windows\system32>netsh exec c:\tools\ipsec_laoplat_in.txt
大概几十秒后,查看IP筛选列表
参考